Comment assurer la sécurité des données et la vie privée dans un nuage hybride

Les fournisseurs de cloud hybrides doivent assurer la sécurité et la confidentialité de vos données, mais vous êtes responsable pour les données de votre entreprise. Cela signifie que la réglementation de l'industrie et du gouvernement créées pour protéger les renseignements personnels et commerciaux appliquent toujours, même si les données sont gérées ou conservée par un fournisseur extérieur.

Les trois principaux domaines de préoccupation liés à la sécurité et la confidentialité des données dans le nuage hybride sont

• Localisation de vos données

• Contrôle de vos données

• Transport sécurisé de vos données

Il est important de noter que certains experts estiment que certains types de données sont tout simplement trop sensible pour l'hybride cloud public /. Cela pourrait inclure des données hautement réglementés, tels que l'information médicale. D'autres croient que si le bon niveau de transparence et des contrôles peut être fourni, les consommateurs peuvent être protégés. Nuages ​​que les données hôtes réglementées doivent répondre aux exigences de conformité telles que la norme Payment Card Industry Data Security (PCI DSS), la loi Sarbanes-Oxley, HIPAA et.

Pour plus d'informations sur la sécurité dans le nuage, consultez la Cloud Security Alliance.

L'emplacement de données dans le nuage

Après données vont dans le nuage, vous ne pouvez pas avoir le contrôle sur l'endroit où il est stocké ou comment il est utilisé. De nombreuses questions sont associées à cette situation:

• Lois spécifiques à chaque pays: Sécurité et lois réglementaires régissant les données peuvent différer de différentes zones géographiques. Par exemple, les protections juridiques de votre propre pays ne peuvent pas appliquer si vos données est situé à l'extérieur de celui-ci. Un gouvernement étranger peut être en mesure d'accéder à vos données ou vous empêcher d'avoir un contrôle total sur vos données lorsque vous en avez besoin.

• Transfert de données à travers les frontières du pays: Une entreprise mondiale avec des filiales ou des partenaires ou des clients (d'ailleurs) dans d'autres pays peut être préoccupé par le transfert transfrontalier des données en raison des lois locales. La virtualisation rend ce un problème particulièrement difficile parce que le fournisseur de nuage pourrait savait pas où les données à un moment donné, que ce soit.

• Utilisation secondaire des données: Dans les situations de cloud public, vos données ou les métadonnées peuvent être vulnérables à d'autres utilisations ou secondaires par le fournisseur de services de cloud computing. Sans contrôles appropriés ou des accords de niveau de service en place, vos données peuvent être utilisées à des fins de marketing. Il pourrait être fusionné avec des données provenant d'autres organisations pour de telles utilisations alternatives.

Le contrôle des données dans le nuage

Vous pouvez ou ne pas avoir entendu le terme de la CIA Triad. Non, cela ne concerne pas les opérations secrètes. Signifie CIA Confidentialité, Intégrité, et Disponibilité. Ces trois attributs ont été autour depuis longtemps dans le monde de l'audit et la gestion Controls- ils sont essentiels pour les données dans l'environnement de cloud pour les raisons suivantes:

• Confidentialité: Seuls les partis autorisés avec les privilèges appropriés peuvent accéder à certaines de données qui est, il n'y a pas de vol de données.

• Intégrité: Données est correct et qu'aucune logiciels malveillants (ou la personne) a modifié it- qui est, il n'y a pas de modifier les données.

• Disponibilité: Les ressources réseau sont disponibles pour les utilisateurs autorisés.

Ces trois attributs sont directement liés à contrôler les données. Contrôles inclure les politiques de gouvernance mis en place pour faire en sorte que les données peuvent être dignes de confiance. L'intégrité, la fiabilité et la confidentialité de vos données doit être irréprochable. Cela vaut pour les fournisseurs de cloud, aussi.

Vous devez comprendre ce niveau de contrôle sera maintenue par votre fournisseur de cloud et d'examiner comment ces contrôles peuvent être vérifiés.

Voici un échantillon des différents types de contrôles visant à assurer la confidentialité, l'intégrité et la disponibilité de vos données:

• Validation d'entrée contrôles pour veiller à ce que toutes les entrées de données de tout système ou de l'application sont complètes, exactes et raisonnable.

• La réconciliation de sortie contrôles visant à assurer que les données peuvent être conciliés de l'entrée à la sortie.

• Traitement contrôles visant à assurer que les données sont traitées complètement et précisément dans une application.

• Accéder contrôles visant à assurer que seuls ceux qui sont autorisés à accéder aux données peuvent le faire. Les données sensibles doivent aussi être protégés dans le stockage et le transfert. Encryption peut vous aider à le faire.

• Re-identification (le processus par lequel anonymes les données personnelles sont en correspondance avec son véritable propriétaire) contrôles pour assurer que les codes sont gardés dans un endroit séparé pour empêcher l'accès non autorisé à ré-identification information.

• Gestion du changement contrôles visant à assurer que les données ne peuvent pas être modifiés sans l'autorisation appropriée.

• La destruction des données contrôles pour veiller à ce que lorsque les données sont définitivement supprimées, il est supprimé de partout - y compris tous les sites de stockage et de sauvegarde redondante.

Le concept de contrôles dans le nuage est si important que la Cloud Security Alliance a dressé une liste de plus de 100 contrôles appelés le Cloud Controls Matrix (CCM) pour guider les fournisseurs de cloud et d'aider les clients potentiels de nuages ​​dans l'évaluation du risque global du prestataire.

Votre entreprise a besoin pour élaborer et publier un ensemble cohérent de règles et de politiques relatives à la création, la saisie, la gestion, la transmission, l'accès, le stockage, et de suppression des données confidentielles et stratégiques. Utiliser des techniques telles que le cryptage et tokenization pour réduire l'exposition au vol de données et l'utilisation abusive.

Le transport sécurisé de données dans le nuage

Dites que vous avez décidé de déplacer certaines de vos données dans le nuage. En ce qui concerne le transport de données, garder deux choses à l'esprit:

• Assurez-vous que personne ne peut intercepter vos données comme il se déplace du point A au point B dans le nuage.

• Assurez-vous que pas de fuites de données malveillantes (ou non) de toute stockage dans le nuage.

Dans le nuage hybride, le voyage du point A au point B peut se produire de plusieurs façons: dans un environnement de cloud computing, sur l'Internet public entre un fournisseur de l'entreprise et de nuages, ou même entre les nuages.

Le processus de sécurité peut inclure séparer vos données à partir des données d'autres entreprises, puis les cryptant à l'aide d'une méthode approuvée. En outre, vous voudrez peut-être pour assurer la sécurité des données plus anciennes qui reste avec un fournisseur de nuage après que vous n'êtes plus besoin.

UN réseau privé virtuel (VPN) est une façon de gérer la sécurité des données lors de son transport dans un environnement de cloud computing. Un VPN permet essentiellement le réseau public de votre propre réseau privé au lieu d'utiliser une connexion dédiée. Un VPN bien conçu doit intégrer deux choses:

• UN pare-feu d'agir comme une barrière entre l'Internet public et tout réseau privé

• Chiffrement pour protéger vos données sensibles de hackers- uniquement l'ordinateur vous l'envoyez à doivent avoir la clé pour décoder les données

En plus du transport, dans un monde hybride, il y aura des points de contact entre vos données et le cloud. Par conséquent, il est important de traiter avec le stockage et la récupération de ces données.